کمپین اینترنتی برای شناسایی و هک کاربران اتریوم

بر اساس تحقیقات اخیر کمپانی رمزنگاری و امنیت سایبری Bad Packets، در حال حاضر یک کمپین اسکن عظیم(Mass-Scan بررسی تمام سطح اینترنت برای پیدا کردن بسته‌های اطلاعاتی مورد نیاز جهت سوء استفاده از داده‌های رمزنگاری نشده و بدون محافظت) در حال انجام است و هکر‌ها در حال جستجو برای تجهیزات ماینینگ اتریوم(Ethereum) و کیف‌پول‌های رمزارزی در اینترنت هستند. تروی مورش(Troy Mursch) یکی از بنیانگذاران کمپانی Bad Packets، به خبرگزاری‌های محلی اعلام نموده که این کمپین اسکن در حقیقت از روز ۳ام دسامبر آغاز شده و  بیش از یک هفته از زمان شروع آن می‌گذرد.

اسکنی برای سوءاستفاده از کیف‌پول‌های رمزارزی و دستگاه‌های ماینینگ

هکر‌ها تمام شبکه را می‌گردند تا دستگاه‌هایی که از پورت ۸۵۴۵ استفاده می‌کنند را پیدا کنند. لازم به ذکر است این پورت اساسا پورت استاندارد مربوط به رابط JSON-RPC برای انواع خاصی از تجهیزات ماینینگ اتریوم(به ویژه Geth) و کیف‌پول‌های رمزارزی اتریوم می‌باشد.

این رابط JSON-RPC یک API است که اجازه می‌دهد سرویس‌ها و نرم‌افزار‌های نصب شده به صورت محلی بتوانند اطلاعات مربوط به ماینینگ و قیمت‌ها را پیدا کنند.

به دلایل امنیتی، از لحاظ نظری این رابط کاربری تنها باید به صورت محلی و داخلی مورد استفاده قرار بگیرد. با این حال، برخی دستگاه‌های ماینینگ و نرم‌افزار‌های کیف‌پول رمزارزی آن را در تمام رابط‌های خود موجود کرده‌اند.

مشکل دیگری که وجود دارد این است که بسیاری از رابط‌های JSON-RPC به همراه یک رمز عبور پیشفرض ارائه نمی‌شوند. این بدان معناست که اگر کاربر خودش به صورت دستی یک رمز عبور مناسب تنظیم نکند، دستگاه او کاملا در معرض خطر قرار دارد.

در این حالت هکر‌ها به راحتی تمام دارایی کاربران را به سرقت می‌برند. تنها کاری که این هکر‌ها باید انجام دهند پیدا کردن کیف‌پول یا تجهیزات ماینینگ کاربر است و سپس با فرستادن دستورات مناسب، تمام اتریوم‌های موجود را به حساب‌های خود منتقل کنند.

پورت ۸۵۴۵ یک مشکل جدید نیست

اتریوم مدت‌هاست که از مسئله‌ی پورت ۸۵۴۵ رنج می‌برد. در سال ۲۰۱۵ در رابطه با این موضوع به تمام ماینرهایی که از تجهیزات Geth استفاده می‌کردند، هشدار داده شد. توسعه‌دهندگان در رابطه با استفاده از این نوع تجهیزات هشدار دادند و کاربران اتریوم را مطلع کردند که این نرم‌افزار، رابط API را در سطح اینترنت افشاء می‌کند. آن‌ها همچنین توصیه کردند کاربران با اضافه کردن رمز عبور مناسب و استفاده از یک فایروال(Firewall) از ترافیک و داده‌های ورودی ناخواسته توسط پورت ۸۵۴۵ جلوگیری به عمل آورند.

این هشدار‌ها برای مدتی طولانی توسط کاربران رعایت می‌شد، اما به نظر می‌رسد که در فضای رمزارزی حافظه‌ی کاربران قوی نیست. با اینکه تعداد زیادی از ماینر‌ها و کیف‌پول‌های رمزارزی با حذف کامل رابط JSON-RPC اقدامات احتیاطی لازم را انجام داده‌اند، بازهم تعداد زیادی از کاربران و نرم‌افزار‌ها وجود دارند که هنوز هم بدون رعایت جوانب احتیاطی از پورت ۸۵۴۵ استفاده می‌کنند.

علاوه بر این، راه‌های دیگری نیز وجود دارد تا از آسیب‌پذیری‌ها و نقض‌های شبکه‌ی اتریوم بر علیه قربانیان استفاده کرد. ماه گذشته بود که محققان یک نقض امنیتی بزرگ جدید پیدا کردند که به هکر‌ها اجازه می‌داد با استفاده از تراکنش‌های کامزد بالا و سوزاندن اتریوم، دارایی‌های تحت مالکیت صرافی‌های رمزارزی را به سرقت ببرند.

فریب قیمت پایین اتریوم را نخورید

در سال ۲۰۱۵ هکرها تمایلی به سرقت اتریوم نداشتند، اما در ژانویه‌ی ۲۰۱۸ و زمانی که اتریوم به قیمت ۱۳۰۰ دلار رسید، این رمزارز به هدف محبوب آن‌ها تبدیل شد و بسیاری از حملات مقیاس بزرگ شروع به کار کردند.

یکی از بدترین رویداد‌های ممکن در ماه ژوئن ۲۰۱۸ رخ داد، زمانی که یک اسکنر توانست بیش از ۲۰ میلیون دلار اتریوم را به سرقت ببرد. در آن زمان ارزش رمزارز اتریوم حدود ۶۰۰ دلار بود.

از ژانویه‌ی ۲۰۱۸ تا کنون قیمت رمزارز اتریوم حدود ۹۰ درصد کاهش یافته و این امر باعث شده که مسئله‌ی پورت ۸۵۴۵ در سایه‌ها به فراموشی سپرده شود. اما اجازه ندهید قیمت‌های پایین باعث فریب خوردن شما شوند. با وجود اینکه اتریوم در حال حاضر با قیمتی کمتر از ۱۰۰ دلار مبادله می‌شود، هکر‌ها باز هم به آن علاقه دارند. آن‌ها برای بدست آوردن سود زیاد می‌توانند از تعداد بیشتری کاربرد و قربانی دزدی کنند. آقای مورش در رابطه با این موضوع اظهار داشت:

با وجود اینکه قیمت‌ها در بازار رمزارزی به شدت سقوط کرده‌اند، در نظر داشته باشید که پول مجانی، همیشه مجانی است، حتی اگر مقدار آن ناچیز باشد.

با توجه به حساب کاربری شرکت Bad Packets در پلت‌فرم توییتری می‌توان گفت که با وجود سقوط شدید قیمت‌ها در بازار رمزارزی، فعالیت‌های اسکن و بررسی طی یک ماه گذشته سه برابر شده‌ است.

تصور می‌شود که در حال حاضر پورت ۸۵۴۵ حدود ۴۷۰۰ دستگاه(که عمدتا کیف‌پول‌های رمزارزی و تجهیزات ماینینگ Geth هستند) در معرض افشاء و دسترسی قرار دارد. بدترین قسمت ماجرا این است که هکر‌ها حتی می‌توانند از طریق این پورت ابزار‌هایی را بدست آورد که به راحتی به آنان اجازه می‌دهد از این آسیب‌پذیری‌ها استفاده کرده و به کاربران اتریوم حمله کنند.

با تمام این تفاسیر، اگر تا کنون به امنیت دستگاه‌های خود فکر نکرده‌اید و یا سقوط قیمت‌ها باعث جلب توجه‌ی شما به سمت بازار شده است، فقط به یاد داشته‌ باشید که هرگز نباید پورت ۸۵۴۵ را کاملا باز بگذارید.

نظر شما در رابطه با این رویداد چیست؟ چطور می‌توان از اینگونه آسیب‌پذیری‌ها و نفوذ هکر‌ها جلوگیری کرد؟ نظرات و پیشنهادات خود را با ما به اشتراک بگذارید.